NEWSLETTER N. 526 del 9 agosto 2024

  • Categoria dell'articolo:News / Privacy
  • Oblio oncologico, dal Garante Privacy informazioni utili per cittadini e imprese
  • Intelligenza artificiale, Garante: sì al ddl ma con le dovute cautele
  • Noleggio auto: Garante Privacy sanziona una banca e una società di leasing

Oblio oncologico, dal Garante Privacy informazioni utili per cittadini e imprese

Che cos’è il diritto all’oblio oncologico? Le banche, le assicurazioni e i datori di lavoro possono chiedere informazioni su una patologia oncologica conclusa da diversi anni? Una persona clinicamente guarita può adottare un bambino? A queste e ad altre domande rispondono le FAQ pubblicate dal Garante per la protezione dei dati personali. L’obiettivo è quello di prevenire le discriminazioni e tutelare i diritti delle persone che sono guarite da malattie oncologiche.

Il documento oltre a fornire chiarimenti ai cittadini sul diritto all’oblio oncologico (legge n. 193/2023) dà indicazioni utili a tutti i datori di lavoro pubblici e privati e a banche, assicurazioni, intermediari del credito e finanziari affinché possano applicare correttamente la nuova normativa.

Nelle FAQ viene spiegato che il compito di vigilanza sulla corretta applicazione della legge è affidato al Garante Privacy, il quale in caso di eventuali violazioni della disciplina sulla protezione dei dati potrà infliggere le sanzioni previste dal Gdpr. Inoltre viene chiarito che la normativa vieta a banche, assicurazioni, e a tutti i datori di lavoro (sia nella fase di selezione del personale sia durante il rapporto lavorativo), di richiedere all’utente e al dipendente informazioni su una patologia oncologica da cui sia stato precedentemente affetto e il cui trattamento si sia concluso – senza episodi di recidiva – da più di dieci anni (ridotti a cinque se il soggetto aveva meno di 21 anni al momento in cui è insorta la malattia).

La legge stabilisce anche particolari tutele per le coppie che presentano domanda di adozione al Tribunale per i minorenni. Il Tribunale, nella selezione delle coppie, non può raccogliere informazioni sulle patologie oncologiche pregresse quando siano trascorsi più di dieci anni dalla conclusione del trattamento della patologia – in assenza di recidive o ricadute – o più di cinque anni se la patologia si è manifestata prima del compimento del 21esimo anno di età.

La regola vale anche in caso di adozione di minori stranieri.

Le FAQ sono consultabili sul sito internet del Garante per la privacy www.gpdp.it.

Intelligenza artificiale, Garante: sì al ddl ma con le dovute cautele
Chieste ulteriori misure a protezione dei dati personali

Parere favorevole del Garante Privacy sullo schema di disegno di legge governativo sull’IA, recante anche delega legislativa per l’adeguamento al Regolamento Ue sull’Intelligenza Artificiale (n.2024/1689
– AI Act).

Il disegno di legge disciplina ricerca, sperimentazione, sviluppo, adozione e applicazione dei sistemi e modelli di Intelligenza Artificiale (IA) nei diversi settori della società (sanità, giustizia, lavoro e professioni, sicurezza e difesa nazionale, etc.).

Nel dare il proprio parere favorevole al testo, il Garante ha tuttavia chiesto al Governo di integrarlo in più parti per garantire una maggiore tutela dei dati personali dei cittadini.

In particolare l’Autorità ha chiesto di introdurre un nuovo articolo per precisare che i trattamenti di dati personali effettuati attraverso i sistemi di intelligenza artificiale devono rispettare la normativa privacy nazionale ed europea. Il testo, inoltre, dovrà essere integrato con uno specifico riferimento a sistemi adeguati di verifica dell’età (c.d. age verification) in grado di garantire limitazioni o divieti all’uso dei sistemi di IA da parte dei minori.

Nel caso poi di utilizzo di sistemi di IA in ambito sanitario ad alto rischio, il Garante ha chiesto di indicare particolari limitazioni per l’utilizzo dei dati (conservazione, divieto di trasmissione, trasferimento o comunicazione) e la preferenza per l’uso di dati sintetici o anonimi.

È stato inoltre richiesto di indicare il Garante – come previsto nell’AI Act – quale Autorità competente per i sistemi di Intelligenza Artificiale ad alto rischio utilizzati ad es. per le attività di law enforcement, identificazione biometrica remota, riconoscimento delle emozioni, gestione delle frontiere, amministrazione della giustizia e processi democratici.

Noleggio auto: Garante Privacy sanziona una banca e una società di leasing
Procedimenti definiti con il pagamento della sanzione in misura ridotta

Il Garante Privacy ha comminato una sanzione di un milione di euro a Credit Agricole Auto Bank per trattamento illecito di dati personali e reddituali di clienti che richiedevano il finanziamento per il noleggio a lungo termine di una autovettura.

La banca accedeva al database Scipafi (Sistema centralizzato di prevenzione delle frodi) – anche per conto della controllata Drivalia, società di leasing auto – pur essendo consapevole di non avere la necessaria autorizzazione del Ministero dell’Economia e delle Finanze per effettuare tali accessi. Auto Bank giustificava le verifiche al fine di prevenire truffe, insolvenze, o altri eventi simili.

L’Autorità è intervenuta a seguito del reclamo di una cliente che lamentava il mancato riscontro – da parte della Banca e di Drivalia – alla sua richiesta di conoscere le motivazioni alla base del diniego del noleggio a lungo termine di un’auto e dell’inserimento del proprio nominativo nella lista dei cattivi pagatori.

In risposta alla richiesta di informazioni dell’Autorità, la Banca affermava che il rifiuto del finanziamento e l’inserimento del nominativo nella “black list” erano dovuti all’esito negativo della verifica della situazione reddituale della cliente effettuata nel database Scipafi.

Nel corso della complessa attività istruttoria, il Garante ha accertato che la Banca non aveva l’autorizzazione del Mef per poter consultare il database Scipafi per conto di Drivalia. Inoltre, l’accesso era avvenuto senza che fosse stata prima acquisita la dichiarazione dei redditi della cliente, documento indispensabile per effettuare il confronto con le informazioni contenute in Scipafi.

Nel quantificare l’importo della sanzione a CA Auto Bank, l’Autorità ha considerato la natura e la gravità della violazione.

Il Garante è intervenuto anche nei confronti di Drivalia irrogando una sanzione di 250mila euro sempre per trattamento illecito di dati personali. L’Autorità ha accertato che la società non era autorizzata dal Mef ad acquisire e trattare i dati dei clienti presenti in Scipafi, neanche attraverso CA Auto Bank. Inoltre l’informativa resa ai clienti non consentiva, all’epoca dei fatti, di individuare tipologia e origine dei dati trattati, i database consultati per verificare le posizioni reddituali dei clienti e se gli accessi ai database fossero effettuati direttamente da Drivalia o tramite CA Auto Bank.

Entro il termine stabilito, CA Auto Bank e Drivalia si sono avvalse della possibilità di estinguere il procedimento mediante il pagamento in misura ridotta di un importo pari alla metà della sanzione comminata.

L'ATTIVITÀ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ

Gli interventi e i provvedimenti più importanti recentemente adottati dall’Autorità

  • Caso Turetta, Garante: eccessivo pubblicare colloqui intercettati tra padre e figlio – Comunicato del 5 agosto 2024

  • Vaccinazione anti Papilloma a studenti: no a iniziative locali che violano la normativa privacy. Il Garante avverte la Regione Puglia – Comunicato del 3 agosto 2024

  • E-state in privacy. I suggerimenti del Garante su selfie e foto, protezione di smartphone e tablet, acquisti online, uso di app, chat e social network quando si è in vacanza (e non solo) – 1 agosto 2024

  • CrowdStrike: il Garante privacy avvia accertamenti sugli effetti del blocco informatico – Comunicato del 23 luglio 2024

  • Telecamere intelligenti a Torino, il Garante privacy apre un’istruttoria. Inviata una richiesta di informazioni al Comune – Comunicato del 19 luglio 2024

  • Relazione sull’attività 2023 – Sintesi per la stampa e documenti – 3 luglio 2024

  • Covid-19: il Garante privacy replica al Presidente della Regione Lombardia – Comunicato del 26 giugno 2024

Fonte: garanteprivacy.it